SOC担当者の疲弊が深刻化、生成AIは救いの一手になるか？　Splunk調査：セキュリティニュースアラート

　同レポートによれば、SOCの業務は技術的な非効率性によって阻害されており、脅威の検出や対応が難しくなっている状況にある。その主な要因として、回答者の59％が「ツールの保守」を挙げており、78％が「セキュリティツールが分散および連携していない状態にある」と答えた。こうした状況を「ある程度課題になっている」または「大きな課題になっている」とする回答は69％に上った。

　ツールの保守やデータのサイロ化、過剰なアラートもSOCチームの業務に大きな負担を与えている。57％が「データ管理戦略の不備によって調査に必要な時間を失っている」と回答し、59％が「アラートの量が多すぎる」とし、55％が「誤検知の多さ」を問題視している。

　SOCアナリストの労働環境にも深刻な課題がある。調査では52％が「チームが過剰な労働状態にある」とし、同じく52％が「仕事のストレスからサイバーセキュリティの仕事を辞めようと考えたことがある」と回答した。43％は「経営陣から過剰な期待が寄せられている」と感じている。

　一方でAIの導入がSOCにおける業務効率の改善やスキル不足の補完に一定の効果をもたらしていることも明らかになった。59％がAIによってSOCの効率が「ある程度向上した」または「大幅に向上した」と評価しており、56％が2025年の優先課題として「セキュリティワークフローへのAI導入」を挙げている。また、33％が「AIと自動化によってスキル不足の解消を目指している」と答えている。

　生成AIについては、63％が汎用（はんよう）ツールよりもドメイン特化型のAIの方がセキュリティ運用の能力を「飛躍的に高める」または「かなり高める」と評価している。一方、組織においてAIの運用には人間参加型（HITL）のアプローチが不可欠であることも考えられている。また、SOCにおいて生成AIが有効とされる業務としては「脅威インテリジェンスの分析」（33％）、「セキュリティデータのクエリ作成」（31％）、「セキュリティポリシーの作成・編集」（29％）が上位に挙がっている。

　セキュリティチームとオブザーバビリティチームとの連携が、インシデント対応の迅速化に寄与している実態も確認されている。調査では「中程度のメリット」から「革新的なメリット」として、78％が「インシデント検出の迅速化」、66％が「修復の迅速化」を挙げている。統合的なセキュリティプラットフォームの導入によってツールの保守負担を軽減し、チーム間のコラボレーションと調査スピードの向上につながっていると考えられている。